«Доктор Веб»: обзор вирусной активности для мобильных устройств в июне 2021 года

9 июля 2021 года

В июне антивирусные продукты Dr.Web для Android чаще всего обнаруживали на защищаемых устройствах вредоносные приложения, загружавшие другое ПО и выполнявшие произвольный код. Кроме того, активными вновь были трояны и программы, демонстрировавшие нежелательную рекламу.

В течение месяца вирусные аналитики компании «Доктор Веб» выявили множество угроз в каталоге Google Play. Среди них ? троянские приложения, похищавшие логины и пароли от учетных записей Facebook, опасные вредоносные программы, подписывавшие пользователей на платные мобильные сервисы, а также трояны, загружавшие мошеннические веб-сайты.

ГЛАВНАЯ ТЕНДЕНЦИЯ ИЮНЯ

  • Распространение множества вредоносных программ через каталог Google Play

Мобильная угроза месяца

В минувшем месяце специалисты компании «Доктор Веб» обнаружили в каталоге Google Play вредоносные приложения, предназначенные для кражи логинов и паролей от учетных записей Facebook. Трояны, получившие имена Android.PWS.Facebook.13, Android.PWS.Facebook.14, Android.PWS.Facebook.17 и Android.PWS.Facebook.18, скрывались в безобидных, на первый взгляд, программах и были загружены свыше 5 850 000 раз.

Для похищения конфиденциальной информации они предлагали потенциальным жертвам войти в Facebook, для чего загружали настоящую страницу авторизации социальной сети. Затем при помощи специального JavaScript-скрипта трояны перехватывали вводимые логины и пароли и вместе с некоторыми другими данными передавали на удаленный сервер злоумышленников.

#drweb

Подробнее об этом случае рассказано в одной из наших новостей.

По данным антивирусных продуктов Dr.Web для Android

По данным антивирусных продуктов Dr.Web для Android #drweb

Android.HiddenAds.1994
Android.HiddenAds.615.origin
Трояны, предназначенные для показа навязчивой рекламы. Они распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другими вредоносными программами.
Android.RemoteCode.284.origin
Android.RemoteCode.6122
Вредоносные программы, которые загружают и выполняют произвольный код. В зависимости от модификации они также могут загружать различные веб-сайты, переходить по ссылкам, нажимать на рекламные баннеры, подписывать пользователей на платные услуги и выполнять другие действия.
Android.Triada.510.origin
Многофункциональный троян, выполняющий разнообразные вредоносные действия. Относится к семейству троянских приложений, проникающих в процессы всех работающих программ. Различные представители этого семейства могут встречаться в прошивках Android-устройств, куда злоумышленники внедряют их на этапе производства. Кроме того, некоторые их модификации могут эксплуатировать уязвимости, чтобы получить доступ к защищенным системным файлам и директориям.

По данным антивирусных продуктов Dr.Web для Android #drweb

Program.FakeAntiVirus.1
Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.WapSniff.1.origin
Программа для перехвата сообщений в мессенджере WhatsApp.
Program.KeyStroke.1.origin
Android-программа, способная перехватывать вводимую на клавиатуре информацию. Некоторые ее модификации также позволяют отслеживать входящие СМС-сообщения, контролировать историю телефонных звонков и выполнять запись телефонных разговоров.
Program.FreeAndroidSpy.1.origin
Приложение, которое следит за владельцами Android-устройств и может использоваться для кибершпионажа. Оно контролирует местоположение устройств, получает доступ к телефонной книге и списку контактов пользователей, а также копирует хранящиеся на устройствах фотографии и видео.
Program.CreditSpy.2
Детектирование программ, предназначенных для присвоения кредитного рейтинга на основании персональных данных пользователей. Такие приложения загружают на удаленный сервер СМС-сообщения, информацию о контактах из телефонной книги, историю вызовов, а также другие сведения.

По данным антивирусных продуктов Dr.Web для Android #drweb

Tool.SilentInstaller.6.origin
Tool.SilentInstaller.10.origin
Tool.SilentInstaller.13.origin
Tool.SilentInstaller.14.origin
Потенциально опасные программные платформы, которые позволяют приложениям запускать apk-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.
Tool.Packer.1.origin
Специализированная утилита-упаковщик, предназначенная для защиты Android-приложений от модификации и обратного инжиниринга. Она не является вредоносной, но может быть использована для защиты как безобидных, так и троянских программ.

По данным антивирусных продуктов Dr.Web для Android #drweb

Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.

Adware.SspSdk.1.origin
Adware.Adpush.36.origin
Adware.Adpush.16510
Adware.Adpush.6547
Adware.Myteam.2.origin

Угрозы в Google Play

Наряду с троянами, похищавшими логины и пароли от Facebook, специалисты «Доктор Веб» обнаружили в каталоге Google Play и другие вредоносные приложения. В их числе — трояны Android.Joker.758 и Android.Joker.766, подписывавшие жертв на платные мобильные сервисы и способные выполнять произвольный код. Первый распространялся под видом программы для редактирования видео, второй ? под видом приложения с коллекцией изображений для изменения фона главного экрана Android-устройств.

Android.Joker.758 #drweb Android.Joker.766 #drweb

Другие трояны являлись представителями семейства программ-подделок Android.FakeApp, распространявшихся под видом различного ПО. Например, троянов Android.FakeApp.278, Android.FakeApp.279, Android.FakeApp.294, Android.FakeApp.295, Android.FakeApp.296 и Android.FakeApp.298 злоумышленники выдавали за официальные приложения лотереи «Русское лото», при помощи которых пользователи якобы могли получить бесплатные лотерейные билеты и узнать итоги розыгрышей.

Android.FakeApp.278 #drweb Android.FakeApp.279 #drweb

Android.FakeApp.295 Android.FakeApp.298 #drweb

В то же время трояны Android.FakeApp.280, Android.FakeApp.281, Android.FakeApp.282, Android.FakeApp.283, Android.FakeApp.284, Android.FakeApp.285 и Android.FakeApp.286 распространялись под видом программ, якобы предназначенных для заработка на финансовом и товарном рынках, например ? при помощи торговли валютой, нефтью, газом и криптовалютами.

Android.FakeApp #drweb

Android.FakeApp #drweb

Android.FakeApp #drweb

Android.FakeApp #drweb

Android.FakeApp #drweb

Android.FakeApp #drweb

Android.FakeApp #drweb

Android.FakeApp #drweb

По заверениям разработчиков, приложения «совершали автоматические успешные сделки». От пользователей лишь требовалось пройти регистрацию и связаться с «менеджером». Некоторые из этих программ якобы были созданы при поддержке правительства и президента Российской Федерации, при этом часть из них была ориентирована на пользователей как в России, так и в других странах — например, в Польше. В действительности эти программы-подделки не предоставляли никакой полезной функциональности и только заманивали жертв к мошенникам, загружая сомнительные и откровенно фишинговые сайты.

Android.FakeApp #drweb Android.FakeApp #drweb

Android.FakeApp #drweb Android.FakeApp #drweb

Android.FakeApp #drweb Android.FakeApp #drweb

Android.FakeApp #drweb Android.FakeApp #drweb

Еще одно «финансовое» приложение-подделка, добавленное в вирусную базу Dr.Web как Android.FakeApp.277, распространялось под видом своеобразной программы для инвестирования от Илона Маска. В ней жертвам предлагалось «удвоить» объем имеющейся у них криптовалюты, отправив ее якобы на кошельки компании Tesla. На самом деле никакого отношения ни к известной компании, ни к ее владельцу троянское приложение не имело, и попавшие на удочку злоумышленников пользователи переводили криптовалюту мошенникам.

Android.FakeApp.277 #drweb Android.FakeApp.277 #drweb

Другого трояна, получившего имя Android.FakeApp.297, злоумышленники выдавали за программу-электронный кошелек. Как и в случае с другими аналогичными вредоносными приложениями-подделками, оно загружало мошеннические сайты.

Android.FakeApp.297 #drweb

Кроме того, были выявлены очередные программы-подделки, предлагавшие жертвам найти информацию о пособиях и льготах и получить выплаты от государства. Антивирусные продукты Dr.Web для Android детектируют их как Android.FakeApp.291, Android.FakeApp.292 и Android.FakeApp.293.

Android.FakeApp.291 #drweb Android.FakeApp.292 #drweb

Android.FakeApp.293 #drweb

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Dr.Web Mobile Security

Ваш Android нуждается в защите.

Используйте Dr.Web

  • Первый российский антивирус для Android
  • Более 140 миллионов скачиваний только с Google Play
  • Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно


Источник: DrWeb.ru

.